白袍的小行星

一周实战总结

字数统计: 1.1k阅读时长: 3 min
2020/06/18 Share

这周被公司派出去做一个内部演练的攻击方,苦逼地干了一周,终于搞完了,写点总结。

本次演练是某大型国企内部的,总公司要求我们攻击所有属于他们的资产,包括下属子公司的,只要证明是其资产即可。

与互联网公司不同,这种企业的网站管理比较混乱,基本不会围绕着自己的官网,也就是资产是分散的,连多个同C端IP都比较少见,所以我们采取的方式基本就是在fofa上靠关键字搜索,然后一个一个看。

这种方式效率很低,但是也没有别的办法,就算人工甄别也总有日偏的情况。

redis授权利用

是的,没看错,就是redis授权利用。

起因是找到了一个某某系统的弱口令,admin/123456,直接登进去开干。

进去之后才发现没啥能利用的功能,没上传点,没能执行命令的地方。

我不死心,找到这个地方尝试注入:

加个单引号直接报错:

绞尽脑汁构造语句,但是就是不顶用,本来准备放弃了,直到我把鼠标往下滑了滑,看到了这个:

哇偶,数据库账号密码,好东西啊。

但是其实真正的好东西是这个:

熟悉的感觉回来了,redis还贴心地给出了密码,shell来!

接下来就是熟悉的操作,连上之后写计划任务反弹端口,拿到的直接是root,真正的一条龙服务。

没有继续深入,因为这台主机很破,破到啥都没有,也没有发现内网。

摸鱼时间

接下来几天都没有什么大收获,最多就是弱口令之类的,直到发现了一条大鱼。

我们直接在某省级公司的官网上找到个注入,等到我们把报告写好提交裁判组时,他们才发觉,匆匆下线了官网。

Oracle数据库,DBA权限,这个让同事整了,但是他没提权,可能是没提下来,我也没追问。

一天早上我刚来,外派所在公司的人跟我说他们爆出来个mysql密码,居然还能外联,这运气没话说,而且他们对于爆破总是有种执念,比如尝试爆破3389,爆破ssh,这种笨办法有时候还真有奇效。

但是我拿到手才感觉坑爹,版本5.7,导出路径被限制在mysql安装目录下的upload文件夹,并且还不知道Web目录,实际上我们根本没找到对应的网站,因为根据资产显示这是个某某监控系统,但是我们访问此IP唯一能正常用的端口8001时,却发现是个静态某公司官网。

所以很尴尬,这个漏洞只能交个弱口令了事。

无用功

在找到官网注入那天,我们还找到个Adminer,刚好我是看过先知这篇文章的:记一次webshell的获取,所以发现这里能搞,同事就拿去搞了,因为我没有参与,所以图片可能不全。

Adminer被放在http://xx.xx.xx.xx/db.php:

因为是laravel框架,所以去读取配置文件.env,得到了root账号的密码:

之后再利用MySQL得到了Webshell:

上去之后发现发财了,上面架了6个网站,一波包圆。

并且这台服务器是通内网的:

权限是nt authority\iusr,看到上面有主动防御,就没继续了,还好没继续。

因为第二天裁判组告诉我们,这不是总公司资产,所以无效,哭了。

总结

最后的成绩不怎么好,整个过程里也没找到什么有点意思的洞,所以来总结一下自己接下来应该注重的点:

  • 针对零碎资产的快速收集,借助脚本等等
  • 钓鱼邮件快速构建,最好有各种样本
  • 已知第三方框架漏洞快速利用

总之,就是快速收集资产,快速打点,快速撕开口子,做到自动化武器化。

CATALOG
  1. 1. redis授权利用
  2. 2. 摸鱼时间
  3. 3. 无用功
  4. 4. 总结